Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:W32/Polip.A
发现日期:13/12/2012
类型:文件感染器
广泛传播:
病毒传播个案呈报:高程度
感染/传播能力:低程度
破坏 / 损害程度:低程度
静态文件:
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 感染文件
   • 对等网络


别名:
   •  Symantec: W32.Polip
   •  Mcafee: W32/Polip
   •  Kaspersky: P2P-Worm.Win32.Polip.a
   •  TrendMicro: PE_POLIP.A
   •  Sophos: W32/Polipos-A
   •  VirusBuster: Win32.Polipos.A
   •  Eset: Win32/Polip
   •  Bitdefender: Win32.Polip.A


平台/操作系统:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003

 文件  删除以下文件:
   • drwebase.vdb
   • avg.avi
   • vs.vsn
   • anti-vir.dat
   • avp.crc
   • chklist.ms
   • ivb.ntz
   • ivp.ntz
   • chklist.cps
   • smartchk.ms
   • smartchk.cps
   • aguard.dat
   • avgqt.dat
   • lguard.vps

 文件感染 感染器类型:

嵌入 - 病毒会将其代码插入到整个文件中 (在一个或多个位置)。


自行修改:

多态 - 每次感染时整个病毒代码都会改变。 病毒包含多态引擎。


忽略以下文件:

– 名称中包含以下任意字符串:
   • vtf; tb; dbg; f-; nav; pav; mon; rav; nvc; fpr; dss; ibm; inoc; scn;
      pack; vsaf; vswp; fsav; adinf; sqstart; mc; watch; kasp; nod; setup;
      temp; norton; mcafee; anti; tmp; secure; upx; forti; scan; "zone
      labs"; alarm; symantec; retina; eeye; virus; firewall; spider;
      backdoor; drweb; viri; debug; panda; shield; kaspersky; doctor; "trend
      micro"; sonique; cillin; barracuda; sygate; rescue; pebundle; ida;
      spf; assemble; pklite; aspack; disasm; gladiator; ort; expl; process;
      eliashim; tds3; starforce; sec; avx; root; burn; aladdin; esafe; olly;
      grisoft; avg; armor; numega; mirc; softice; norman; neolite; tiny;
      ositis; proxy; webroot; hack; spy; iss; pkware; blackice; lavasoft;
      aware; pecompact; clean; hunter; common; kerio; route; trojan;
      spyware; heal; alwil; qualys; tenable; avast; a2; etrust; spy;
      steganos; security; principal; agnitum; outpost; avp; personal;
      softwin; defender; intermute; guard; inoculate; sophos; frisk; alwil;
      protect; eset; nod32; f-prot; avwin; ahead; nero; blindwrite; clonecd;
      elaborate; slysoft; hijack; roxio; imapi; newtech; infosystems;
      adaptec; "swift sound"; copystar; astonsoft; "gear software"; sateira;
      dfrgntfs; {; }; $

路径中包含以下任意字符串:
   • {
   • }
   • $
   • \\?\
   • \\.\
   • 


以下文件已被感染:

按文件类型:
   • exe
   • scr

以下任何目录中的文件:
   • C:\program files
   • C:\windows
   • C:\win98
   • C:\win98se
   • C:\winxp
   • C:\win2000
   • C:\winnt
   • C:\winme

 注入进程 – 它会将自己注入到进程中。

   不在包含以下字符串的进程中:
   • ggf

   

 Rootkit 技术 使用的方法:
    • 挂钩导入地址表 (Import Address Table IAT )

挂钩以下 API 功能 :
   • CreateFileW
   • CreateFileA
   • SearchPathW
   • SearchPathA
   • CreateProcessW
   • CreateProcessA
   • LoadLibraryExW
   • LoadLibraryExA
   • ExitProcess

설명 삽입자 Razvan Olteanu   2010년 2월 9일 화요일
설명 업데이트 Andrei Ivanes   2010년 2월 10일 수요일

뒤로 . . . .
https:// 이 창은 보안을 위해 암호화되었습니다.